Die vom Europol-Anfang März ins Visier genommene Phishing-Plattform Tycoon2FA ist nur wenige Tage nach der Zerschlagungsankündigung nahezu vollständig wieder aktiv. Trotz der Beschlagnahmung hunderter Domains und der Unterstützung großer Technologieunternehmen gelang es den Betreibern, ihre Infrastruktur rasch neu aufzubauen und die Phishing-Kampagnen auf das frühere Niveau zu bringen.
Europol-Operation gegen Tycoon2FA: Umfang und direkte Wirkung
Die koordinierte Maßnahme von Europol zielte darauf ab, die Phishing-as-a-Service (PhaaS)-Ökosphäre von Tycoon2FA zu stören. Mit technischer Unterstützung von Microsoft beschlagnahmten Strafverfolgungsbehörden aus Lettland, Litauen, Portugal, Polen, Spanien und dem Vereinigten Königreich insgesamt 330 Domains, die als Verwaltungsoberflächen, Phishing-Landingpages und Backend-Infrastruktur dienten.
Eine Analyse von CrowdStrike zeigt, dass das Volumen der Tycoon2FA-Phishingkampagnen unmittelbar nach dem Zugriff am 4. und 5. März auf etwa 25 % des üblichen Niveaus zurückging. Bereits nach wenigen Tagen lagen die Aktivitäten jedoch wieder auf einem Stand, der mit den Werten zu Jahresbeginn vergleichbar ist – ein Indikator für die hohe Resilienz moderner PhaaS-Plattformen gegenüber reinen Infrastrukturmaßnahmen.
Tycoon2FA als Phishing-as-a-Service: Fokus auf Cloud-Konten und MFA-Umgehung
Tycoon2FA operiert nach einem klassischen Phishing-as-a-Service-Modell: Kriminelle Kunden mieten eine einsatzbereite Plattform inklusive Vorlagen, Infrastruktur und Automatisierung. Im Fokus stehen vor allem Microsoft-365- und Gmail-Konten, die im Unternehmensumfeld weit verbreitet und daher besonders gewinnbringend sind.
Adversary-in-the-Middle: Technischer Kern des Angriffs
Charakteristisch für Tycoon2FA ist der Einsatz von Adversary-in-the-Middle (AitM)-Techniken. Opfer werden auf täuschend echt gestaltete Login-Seiten umgeleitet, während der gesamte Datenverkehr über einen Proxy des Angreifers läuft. Dadurch können die Betreiber:
- Anmeldedaten (Benutzername/Passwort) abgreifen,
- Sitzungs-Cookies nach erfolgreicher Anmeldung stehlen,
- Mehrfaktor-Authentifizierung (MFA) effektiv umgehen, indem sie die gültige Session des Opfers übernehmen.
Laut Microsoft generierte Tycoon2FA in Phasen hoher Aktivität rund 30 Millionen Phishing-E-Mails pro Monat und war mit etwa 62 % aller durch Microsoft blockierten Phishing-Nachrichten verknüpft. Damit zählt die Plattform zu den sichtbarsten Akteuren im PhaaS-Ökosystem.
Neue Angriffswellen: BEC, Thread Hijacking, Cloud-Missbrauch und KI-Inhalte
Der CrowdStrike-Bericht legt nahe, dass sich die Taktiken von Tycoon2FA nach der Europol-Operation kaum verändert haben. Die Plattform wird weiterhin eingesetzt für:
- die Kompromittierung von Cloud-Accounts,
- Business Email Compromise (BEC), also das Ausnutzen kompromittierter Geschäfts‑E-Mail-Konten,
- Thread Hijacking, bei dem in bestehende legitime E-Mail-Verläufe eingeschleust wird,
- die Verbreitung schädlicher Links über SharePoint und andere Cloud-Dienste.
In aktuellen Kampagnen setzen die Betreiber verstärkt auf:
- Linkverkürzer, um Ziel-URLs und verdächtige Domains zu verschleiern,
- Missbrauch legitimer Online-Plattformen (z. B. Kollaborations- und Präsentationsdienste),
- die Nutzung kompromittierter Domains, was klassische Reputationsfilter unterläuft,
- KI-generierte Phishing-Seiten, die visuell immer schwerer von echten Unternehmensseiten zu unterscheiden sind.
BEC-Angriffe gehören laut dem FBI Internet Crime Report 2023 weltweit zu den teuersten Cybercrime-Formen mit Schäden in Milliardenhöhe. PhaaS-Plattformen wie Tycoon2FA senken die Einstiegshürden für weniger technisch versierte Täter erheblich und skalieren diese Angriffsform weiter.
Warum Tycoon2FA den Schlag überlebt hat: Grenzen von Domain-Beschlagnahmen
CrowdStrike berichtet, dass Teile der ursprünglichen Tycoon2FA-Infrastruktur von der Europol-Operation gar nicht betroffen waren und durchgehend weiterliefen. Parallel registrierten die Angreifer rasch neue Domains und IP-Adressen, sodass die Beschlagnahme von 330 Domains nur einen temporären und partiellen Effekt hatte.
Der Fall verdeutlicht ein generelles Problem im Kampf gegen PhaaS: Ohne die Identifikation und Festnahme der Betreiber sowie das physische Abschalten zentraler Server können Plattformen mithilfe automatisierter Domainregistrierung, verteiltem Hosting und anonymen Zahlungswegen schnell neu entstehen. Solange der Markt für Phishing-Dienstleistungen hochprofitabel bleibt, fehlen ökonomische Anreize, die kriminelle Tätigkeit dauerhaft einzustellen.
Für Unternehmen ist Tycoon2FA ein eindrücklicher Hinweis darauf, dass selbst groß angelegte Strafverfolgungsaktionen kein Ersatz für eigene Sicherheitsmaßnahmen sind. Organisationen sollten konsequent auf phishingresistente Authentifizierung wie FIDO2-Sicherheitsschlüssel setzen, Zugriffsrichtlinien für Cloud-Dienste strikt definieren, Anomalien in Login- und E-Mail-Verkehr kontinuierlich überwachen und Mitarbeitende regelmäßig in der Erkennung von Phishing und der Prüfung von Links schulen. Nur die Kombination aus technischer Härtung, Prozessen und Awareness kann die Erfolgsquote von Plattformen wie Tycoon2FA nachhaltig senken und ihr Geschäftsmodell langfristig unattraktiver machen.
